Mac 앱에 관해서는 중간에 소위 말하는 사람을 두려워하는 이유가 있습니다.
보안 엔지니어가 타사 소프트웨어 프레임워크 앱이 업데이트를 수신하는 데 사용하는 Sparkle을 통해 악성 코딩에 취약한 여러 앱을 보고하고 있습니다. 확인된 앱 중 일부에는 Camtasia, VLC, uTorrent, Sketch 및 DuetDisplay 버전이 포함됩니다.
취약점은 지난 달 블로그에서 라덱. 이후 다른 연구원에 의해 확인되었으며, 시몬 마르게리텔리, 기술 웹사이트에서 수요일에 보고했습니다. 아르테크니카.
위험에는 하이퍼 텍스트 전송 프로토콜 또는 HTTP가 포함됩니다. 일부 앱 개발자는 정보 업데이트에 HTTPS가 아닌 HTTP를 사용했습니다. S는 보안용입니다. 즉, HTTPS를 사용하는 앱은 데이터가 암호화되도록 합니다. HTTP는 기본적으로 일반 텍스트이며 안전하지 않습니다.
Radek은 HTTP를 사용하는 앱이 MiTM 또는 중간자 공격에 열려 있다고 말했습니다. 즉, 최종 사용자와 서버 간에 트래픽이 전달될 때 코드가 비밀리에 조작될 수 있습니다.
Radek은 자신의 블로그에서 "Sparkle Updater 프레임워크는 본질적으로 안전하고 사용하기 쉽습니다. "프로젝트에 Sparkle을 포함하는 개발자는 하나의 간단한 규칙을 어겼습니다. 모든 곳에서 HTTPS를 설정하지 않았습니다."
좋은 소식은 Sparkle의 최신 버전이 HTTPS 채널만 사용한다는 것입니다. 나쁜 소식은 개발자가 취약점을 해결하고 앱의 새 버전을 게시하는 데 많은 노력이 필요하다는 것입니다.
Radek이 보낸 이메일에 따르면 "이제 사람들이 업데이트를 확인하고 컴퓨터에서 이 특정 앱 버전을 최신 버전으로 교체할 수 있는 순간입니다." 아르테크니카. “모든 것은 애플리케이션의 복잡성, 크기 및 유지 관리자에 따라 다릅니다. 이것이 일부 개발자가 애플리케이션에서 Sparkle을 업데이트하고 싶지 않거나 업데이트할 수 없는 이유입니다.”
Radek은 얼마나 많은 Mac 앱이 영향을 받았는지 알기는 어렵지만 그 수가 다소 높을 것으로 생각한다고 말했습니다. 그의 블로그에는 그가 일부 앱에서 실행한 테스트가 요약되어 있습니다.
Margeritelli는 VLC Media Player의 공격 테스트를 실행하고 취약점을 보여주는 짧은 비디오를 아래에 게시했습니다.
원천: 아르테크니카